보안

W32.Duqu 트로이, 차세대 스턱스넷 등장

Jaikumar Vijayan | Computerworld 2011.10.19
원자력, 전기, 철강, 반도체, 화학 등 제조업계 주요산업시설의 제어시스템을 타깃으로 하는 일명 스턱스넷 코드인 새로운 악성코드가 나타났다. 
 
보안업체인 시만텍은 차세대 스턱스넷의 선도격인 W32.Duqu(두큐)라 불리는 새로운 악성코드의 위협을 경고했다. 
 
시만텍은 이 새로운 위협은 트로이는 스턱스넷의 저작자 또는 적어도 스턱스넷 소스코드에 액세스할 수 있는 사람에 의해 나타나는 원격 접속 트로이(RAT)라고 밝혔다. "두쿠가 스턱스넷과 동일한 위협이 있다는 것을 확인했지만 완전히 다른 목적을 갖고 있다"고.

스턱스는 파괴, 두큐는 훔치기
시만텍 측은 "두큐의 목적은 산업용 제어 시스템을 사용하는 본체에 대항해 공격하는데 사용한 다음, 그 제조 데이터를 훔치는 것"이라고 전했다. 
 
시만텍 제품관리 담당 이사 케빈 헤일리는 "이 트로이는 특정 조직의 까다로운 목표를 갖고 있으며, 스턱스넷과 같은 코드를 많이 사용하지만 내용은 완전히 다르다"고 분석했다. 
 
스턱스넷은 산업용 제어 시스템을 파괴하도록 설계된 반면에, 두큐는 단순히 산업용 제어시스템에 대한 정보를 수집하기 위해 특별히 만들어진 원격 접속 기능이 있는 트로이 목마다. 
 
새로운 트로이의 등장은 이에 타깃이 되는 발전소, 용수처리시설, 화학공장과 같은 주요 인트라에 사용되는 산업 제어 시스템에 대한 감시기능을 강화해야 한다. 
 
일부 보안 전문가는 "가장 정교하게 만들어진 악성코드로 불리는 스턱스 웜은 이란을 포함해 많은 국가의 산업 제어 시스템에 영향을 줬다"고 언급했다. 
 
이 웜은 자원의 물리적 파괴를 할 수 있도록 변해가는 첫번째 악성코드로 주목할 만하다. 헤일리는 "공격자는 향후 공격에 사용할 수 있는 정보를 훔치기 위해 키로거와 네트워크 나열자(enumerators)를 설치하는데 두쿠를 사용한다"며, "공격자는 산업 제어 시스템에 대한 향후 공격에서 우위를 점하기 위해 설계 문서와 같은 정보를 찾고 있다"고 말했다. 
 
헤일리는 두쿠가 소수의 유럽 제조기업의 산업용 제어 시스템을 공격하는데 사용됐음을 밝혔다. 이 사례에서만큼은 적어도 공격자는 이런 데이터를 훔치는데 실패했다. 그러나 두큐가 공격을 시작하는데 사용되어진다는 정보는 모든 사례에서 적용할 수 있는게 아니다. 

감염 방법, 경로...아직 밝히지 못해
시만텍은 10월 14일 '강력한 국제적 연결과 연구 실험실'로 묘사된 새로운 악성코드의 견본을 받았다고 밝혔다. 지금까지 시만텍은 두가지의 두큐 변종을 분석하고, 유럽의 어느 한 조직에서 추가적으로 변종을 발견했다. 
 
두큐와 그 변종을 사용하는 공격은 파일 컴파일 시간을 검토해 본 결과 지난해 12월부터 진행되고 있었던 것으로 추정된다. 두큐는 스스로 복제하거나 전파할 수 없으며, 이는 감염된 시스템에서 자신을 제거한 이후 36일간 실행되도록 구성되어 있다. 
 
시만텍은 공격자가 어떻게 시스템을 감염시킨 것인지 아직 방법을 찾지 못했다. 
 
헤일리는 "두큐가 어떻게 전파되는지 아직 모르기 때문에 설치 프로그램을 복구하지 않았다"며, "'USB에서 나를 복사하라' 또는 '네트워크를 찾아 나를 그곳에 데려가 달라'라는 두쿠의 말은 아무 것도 아니다. 이것은 단지 그곳에 앉아 원격 액세스 툴로서 일하고 있을 뿐이다. 그런데 그곳에 어떻게 왔는지 우리도 모른다"고 밝혔다. 
 
두큐라 불리는 새로운 악성코드의 이름은 이 악성코드가 접두사 'DQ' 파일명을 가진 파일을 생성하기 때문에 이름지어진 것이라고 시만텍은 설명했다. 이 목마는 드라이버 파일, 동적 연결 라이브러리와 그리고 설정 파일 등 세개로 구성되었다. 
 
두큐와 스턱스넷과의 관계는 트로이라는 것이외에는 별다른 정보가 없다. 변종 가운데 하나인 드라이버 파일은 타이페이에 본사를 둔 회사에 속한 디지털 인증서로 서명했다. 2012년 8월에 만료되도록 설정된 인증서는 10월 14일 취소됐다.  
 
시만텍에 따르면, 두큐는 인도의 호스팅된 서버와 통신할 수 있는 HTTP와 HTTPS를 사용한다고 밝혔다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.